株式会社アイ・オー・データ機器は2020年5月10日、同社のテスト用サーバに第三者から不正アクセスがあり個人情報が流出したと発表した。
当該サーバ内には、製品型番、MACアドレス、製品シリアルナンバー及びメールアドレスなどの個人情報が保存されていた。
なお、NASに保存されているデータの流出や、顧客が利用するNASやネットワークについて外部からの不正アクセスによる内部への侵入の可能性は無いとのこと。
【想定損害賠償額シミュレータによる今回の損害試算】
約3億6000万円
あまり人のことを言えた立場ではないのだが、下記は改めなければならないと感じる。
・NG行為1.テストサーバをインターネット上に公開
・NG行為2.テストサーバに本番サーバと同じデータを突っ込む
テストサーバはどうしても管理がおろそかになりがちなので、非公開にするか、公開は一時的にすべき。
また、本番サーバと同じデータを突っ込むのではなく、ダミーデータにするか、マスキングをすべき。
とても雑な表現だけど、感覚的に売上高に占めるIT予算化率が3%超の会社であれば、上記ができているイメージ。
逆に3%未満の会社は人的リソースが足りていないため、ほとんどできていない。
アイ・オー・データ社はIT機器の会社だけど、自社のITオペレーションにはしっかり投資をしていなかったのではないだろうか?
どうでもいい話だが、個人的にはアイ・オー・データ社の製品は相性が悪いらしく、不具合で悩まされることが多い。
個人的には相性がいいバッファロー製品を好む。
【参考】
https://scan.netsecurity.ne.jp/article/2020/05/12/44084.html